網(wǎng)吧信息審計(jì)系統(tǒng)

1、編 號(hào)：MSCTC-ZY1-32網(wǎng)吧管理信息系統(tǒng)檢測(cè)實(shí)施細(xì)則編制：審核：批準(zhǔn)：2001-XX-XX 發(fā)布2001-XX-XX 實(shí)施公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心網(wǎng)吧管理信息系統(tǒng)檢測(cè)實(shí)施細(xì)則一、 執(zhí)行檢測(cè)規(guī)范1. 網(wǎng)吧管理信息代碼 12. 網(wǎng)吧管理信息基本數(shù)據(jù)交換格式 23. 網(wǎng)吧管理信息系統(tǒng)基本功能 3二、 送樣方法1. 企業(yè)送樣時(shí)，需填寫樣品送樣及交驗(yàn)清單2. 企業(yè)送樣時(shí)，需提供以下資料（一）安全專用產(chǎn)品的委托檢驗(yàn)合同；（二）營業(yè)執(zhí)照（復(fù)印件）；（三）產(chǎn)品安裝光盤兩套；（四）產(chǎn)品安裝說明書；（五）產(chǎn)品使用指南；（六）產(chǎn)品功能及性能的中文說明；（七）證明產(chǎn)品功能及性能的有關(guān)材料；

2、（八）國外產(chǎn)品在國內(nèi)最高級(jí)別的授權(quán)代理書；（九）送檢介紹信及取報(bào)告介紹信。3. 企業(yè)送檢的文字材料需一式三份，經(jīng)檢驗(yàn)中心加蓋公章后，一份留存，另兩份分別送公安部主管部門及送檢單位三、 測(cè)試環(huán)境1. 公安端系統(tǒng)最低系統(tǒng)要求系統(tǒng)名稱系統(tǒng)要求系統(tǒng)平臺(tái)應(yīng)用平臺(tái)備注數(shù)據(jù)庫服務(wù)器CPUIntel Pentium II 300Microsoft Windows NT Server 4.0With IIS 3.0And SP 4,或各適宜版本Unix/LinuxOracle Enterprise 5 User，或Microsoft SQL Server 6.5，或 Sybase SQL Server 11.0

3、x模擬公安端審計(jì)數(shù)據(jù)庫系統(tǒng)RAM128MB DIMMHDD20GB通訊服務(wù)器CPUIntel Pentium II 233Microsoft Windows NT Server 4.0With and SP 4Microsoft Internet Information Server 2.0提供通訊服務(wù)并使PSTN等公網(wǎng)與公安網(wǎng)隔離RAM64MB DIMMHDD2GB遠(yuǎn)程通訊設(shè)備多用戶卡PCI 帶CPU,2口支持Microsoft Windows NTFor Microsoft RAS提供網(wǎng)吧端上傳數(shù)據(jù)查詢工作站CPUIntel Pentium 200MMXMicrosoftWindows 9

4、5/98-公安信息查詢RAM32MB RAMHDD2GB2. 網(wǎng)吧端系統(tǒng)最低系統(tǒng)要求系統(tǒng)名稱系統(tǒng)要求系統(tǒng)平臺(tái)應(yīng)用平臺(tái)備注網(wǎng)吧審計(jì)服務(wù)器CPUIntel Pentium 200MMXMicrosoft Windows NT 4.0 with SP 4-模擬網(wǎng)吧審計(jì)RAM64MB RAMHDD4GB顧客上網(wǎng)PC機(jī)CPUIntel Pentium 200MMXMicrosoft Windows 95/98-模擬顧客上網(wǎng)RAM32MB RAMHDD2GB3. 網(wǎng)絡(luò)系統(tǒng)要求系統(tǒng)名稱系統(tǒng)要求系統(tǒng)平臺(tái)應(yīng)用平臺(tái)備注局域網(wǎng)10/100M以太網(wǎng)，或其他類網(wǎng)絡(luò)-模擬公安內(nèi)部網(wǎng)/網(wǎng)吧內(nèi)部網(wǎng)4. 模擬數(shù)據(jù)庫要求含有不少

5、于1萬條審計(jì)信息的模擬數(shù)據(jù)庫四、 檢驗(yàn)測(cè)試項(xiàng)目和判定準(zhǔn)則1. 檢驗(yàn)測(cè)試項(xiàng)目分為兩組： 基本功能測(cè)試 數(shù)據(jù)交換格式測(cè)試2. 基本功能測(cè)試2.1 顧客信息的錄入序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1顧客信息錄入34.1 條錄入顧客信息3次，核對(duì)結(jié)果。A2身份證總長合法性鑒別34.1 條輸入總長不等于15或18的身份證號(hào)，測(cè)試結(jié)果。B3身份證行政區(qū)位合法性鑒別34.1 條輸入行政區(qū)位不合法的身份證號(hào)，測(cè)試結(jié)果。4身份證出生年月日合法性鑒別34.1 條輸入出生年月日不合法的身份證號(hào)，測(cè)試結(jié)果。5錄入保障34.1 條不登記顧客信息，嘗試上網(wǎng)。A6顧客信息修改34.1 條修改顧客信息各3次，核對(duì)結(jié)果

6、。A2.2 記錄顧客上網(wǎng)日志和產(chǎn)生報(bào)警信息序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1依HTTP協(xié)議進(jìn)行審計(jì)報(bào)警34.2 條根據(jù)URL進(jìn)行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A2依FTP協(xié)議進(jìn)行審計(jì)報(bào)警34.2條根據(jù)服務(wù)器地址進(jìn)行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A3依TELNET協(xié)議進(jìn)行審計(jì)報(bào)警34.2條根據(jù)服務(wù)器地址進(jìn)行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A4依POP協(xié)議進(jìn)行審計(jì)報(bào)警34.2條根據(jù)發(fā)件人郵件地址進(jìn)行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A5依SMTP協(xié)議進(jìn)行審計(jì)報(bào)警34.2條根據(jù)收件人郵件地址進(jìn)行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A6依UDP協(xié)議進(jìn)行審計(jì)報(bào)警34.2條根據(jù)icq號(hào)進(jìn)

7、行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A7日志內(nèi)容34.2 條根據(jù)2.4核查日志內(nèi)容A8審計(jì)事件集的唯一性34.2 條嘗試使系統(tǒng)使用設(shè)置的不同審計(jì)事件源，測(cè)試結(jié)果。A9審計(jì)事件集的更新34.2 條更改審計(jì)事件集，測(cè)試更新及時(shí)性。A10報(bào)警事件在本地日志中的標(biāo)識(shí)34.2 條報(bào)警發(fā)生后檢查本地日志數(shù)據(jù)庫的報(bào)警標(biāo)識(shí)。B2.3 對(duì)特定報(bào)警事件內(nèi)容的記錄序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1依HTTP協(xié)議進(jìn)行審計(jì)報(bào)警34.3條根據(jù)URL進(jìn)行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A2依FTP協(xié)議進(jìn)行審計(jì)報(bào)警34.3條根據(jù)服務(wù)器地址和傳輸文件名進(jìn)行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A3依TELNET協(xié)議進(jìn)行

8、審計(jì)報(bào)警34.3條根據(jù)服務(wù)器地址進(jìn)行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A4依POP協(xié)議進(jìn)行審計(jì)報(bào)警34.3條根據(jù)發(fā)件人郵件地址進(jìn)行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A5依SMTP協(xié)議進(jìn)行審計(jì)報(bào)警34.3條根據(jù)收件人郵件地址進(jìn)行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A6依UDP協(xié)議進(jìn)行審計(jì)報(bào)警34.3條根據(jù)icq號(hào)進(jìn)行觸發(fā)審計(jì)事件的上網(wǎng)行為，測(cè)試結(jié)果。A7報(bào)警信息和日志的保存時(shí)間34.3 條檢查相關(guān)文檔并驗(yàn)證相關(guān)技術(shù)措施A8能根據(jù)主管部門的要求對(duì)有害數(shù)據(jù)進(jìn)行過濾34.3條設(shè)置相關(guān)過濾規(guī)則，驗(yàn)證過濾效果。B2.4 數(shù)據(jù)傳輸序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1上傳功能的實(shí)現(xiàn)34.4 條驗(yàn)證顧客信

9、息、日志信息的上傳功能的實(shí)現(xiàn)，并核查報(bào)警后數(shù)據(jù)是否上傳A2報(bào)警信息上傳34.4 條報(bào)警事件發(fā)生后核查及上傳的及時(shí)性A3顧客日志上傳34.4 條上傳顧客日志，驗(yàn)證結(jié)果B4上傳數(shù)據(jù)的完整性和一致性34.4 條檢查相關(guān)文檔并驗(yàn)證相關(guān)技術(shù)措施A2.5 瀏覽顧客信息和日志信息序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1身份鑒別34.5 條分授權(quán)和非授權(quán)兩組用戶登錄，驗(yàn)證結(jié)果A2瀏覽權(quán)限控制34.5 條分授權(quán)和非授權(quán)兩組用戶瀏覽日志，測(cè)試其訪問控制A3本地?cái)?shù)據(jù)的完整性和一致性34.5 條檢查相關(guān)文檔并驗(yàn)證相關(guān)技術(shù)措施A2.6 顧客信息查詢序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1按姓名查詢35.1 條查

10、詢相關(guān)信息3次，核對(duì)結(jié)果A2按證件號(hào)碼查詢35.1 條同上A3按上網(wǎng)起止時(shí)間查詢35.1 條同上A4組合查詢35.1 條同上A5模糊查詢35.1 條同上A6查詢結(jié)果的顯示和打印35.1 條核對(duì)每種查詢方法都有正確的顯示和打印A2.7 審計(jì)事件的設(shè)置與修改序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1設(shè)置審計(jì)權(quán)限控制35.2.1 條分授權(quán)與非授權(quán)兩組用戶進(jìn)行權(quán)限控制測(cè)試A2審計(jì)事件要求35.2.1 條測(cè)試相關(guān)要求是否能準(zhǔn)確實(shí)現(xiàn)B2.8審計(jì)報(bào)警序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1報(bào)警信息內(nèi)容3 條對(duì)照25核對(duì)報(bào)警信息內(nèi)容A2報(bào)警手段的有效性3 條測(cè)試報(bào)警手段，評(píng)估其有效性A3報(bào)警標(biāo)記3 條核

11、對(duì)報(bào)警標(biāo)記的設(shè)置B4公安接口3 條核對(duì)該接口的設(shè)置B2.9 報(bào)警事件查詢序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1按發(fā)生日期查詢3 條查詢相關(guān)信息3次，核對(duì)結(jié)果A2按網(wǎng)吧名稱查詢3 條同上A3按網(wǎng)吧編碼查詢3 條同上A4按目的URL查詢3 條同上A5按顧客姓名查詢3 條同上A6按證件類型和號(hào)碼查詢3 條同上A7按報(bào)警內(nèi)容查詢3 條同上A8組合查詢3 條同上A9模糊查詢3 條同上A2.10網(wǎng)吧信息的錄入與維護(hù)序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1網(wǎng)吧信息的錄入35.3.1 條錄入網(wǎng)吧信息3次，核對(duì)結(jié)果A2網(wǎng)吧信息的修改3 條增加、修改、刪除網(wǎng)吧信息3次，核對(duì)結(jié)果A2.11 網(wǎng)吧處罰結(jié)果信

12、息的錄入與修改序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1網(wǎng)吧處罰信息的錄入35.3.2 條錄入網(wǎng)吧處罰信息3次，核對(duì)結(jié)果A2網(wǎng)吧處罰信息的修改3 條增加、修改、刪除網(wǎng)吧處罰信息3次，核對(duì)結(jié)果A2.12 網(wǎng)吧信息查詢序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1按網(wǎng)吧名稱查詢3 條查詢相關(guān)信息3次，核對(duì)結(jié)果A2按法定代表人查詢3 條同上A3按狀態(tài)查詢3 條同上A4按報(bào)警事件類型查詢3 條同上A5按處罰結(jié)果查詢3 條同上A6組合查詢3 條同上A7模糊查詢3 條同上A8查詢結(jié)果的顯示和打印3 條核對(duì)每種查詢方法都有正確的顯示和打印A2.13 網(wǎng)吧信息統(tǒng)計(jì)序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1提

13、供分組交叉統(tǒng)計(jì)功能3 條分組交叉統(tǒng)計(jì)網(wǎng)吧信息3次，核對(duì)結(jié)果A2統(tǒng)計(jì)結(jié)果的顯示和打印3 條核對(duì)統(tǒng)計(jì)后有正確的顯示和打印A2.14 數(shù)據(jù)備份與恢復(fù)序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1定時(shí)自動(dòng)進(jìn)行數(shù)據(jù)備份3 條設(shè)置自動(dòng)備份，核對(duì)結(jié)果A2建立備份日志3 條核對(duì)備份后日志A3時(shí)間段可控3 條設(shè)置不同時(shí)間段，核對(duì)結(jié)果A4備份數(shù)據(jù)的恢復(fù)3 條恢復(fù)備份的數(shù)據(jù)，核對(duì)結(jié)果A2.15系統(tǒng)安全性序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1查詢數(shù)據(jù)分級(jí)權(quán)限設(shè)置3 條以不同級(jí)別的管理員登錄測(cè)試其權(quán)限分級(jí)狀況A2審計(jì)設(shè)置分級(jí)權(quán)限設(shè)置35.4.2 條以不同級(jí)別的管理員登錄測(cè)試其權(quán)限分級(jí)狀況A3系統(tǒng)維護(hù)分級(jí)權(quán)限設(shè)置3

14、條以不同級(jí)別的管理員登錄測(cè)試其權(quán)限分級(jí)狀況A4身份鑒別3 條嘗試不同用戶登錄，測(cè)試鑒別結(jié)果A2.16遠(yuǎn)程要求序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1程序升級(jí)和編碼更新36條評(píng)測(cè)技術(shù)文檔A2升級(jí)集中式管理36條評(píng)測(cè)技術(shù)文檔并更新測(cè)試A3. 數(shù)據(jù)交換格式測(cè)試3.1 顧客信息基本數(shù)據(jù)交換格式序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1網(wǎng)吧編碼2.13.1 條核對(duì)數(shù)據(jù)項(xiàng)類型和數(shù)據(jù)項(xiàng)長度A2姓名2.13.2 條同上A3證件類型2.13.3 條同上A4證件號(hào)碼2.13.4 條同上A5上網(wǎng)開始時(shí)間2.13.5 條同上A6使用機(jī)器號(hào)2.13.6條同上A7使用IP2.13.7 條同上A8上網(wǎng)結(jié)束時(shí)間2.13.8條同上A9單位名2.13.9條同上C10國家名2.13.10條同上C3.2 網(wǎng)吧信息基本數(shù)據(jù)交換格式序號(hào)實(shí)驗(yàn)項(xiàng)目執(zhí)行檢測(cè)規(guī)范要求方法不合格分類1網(wǎng)吧編碼2.23.1 條核對(duì)數(shù)據(jù)項(xiàng)類型和數(shù)據(jù)項(xiàng)長度A2名稱2.23.2 條同上A3法定代表人2.23.3 條同上A4負(fù)責(zé)人2.23.4 條同上A5信息安全員2.23.5 條同上C6地址2.23.6 條同上A7聯(lián)系電話2.23.7 條